PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Zugriff auf SMB aus anderer Workgroup/Domain



rambrand
31.01.11, 10:02
Hallo,

ich gebe gleich zu, ich bin noch recht frisch im Thema Linux-Server.
Ich habe einen Linux-Server als Web/Proxy-Server aufgesetzt und wollte nun einigen Windows-Rechnern Zugriff auf das htdocs-Verzeichnis geben, damit die Kollegen das Intranet pflegen können (die weigern sich direkt am Server bzw. per ssh darauf zu arbeiten - MS-Jünger halt).
Ich habe den Samba auf die Workgroup workgroup eingerichtet. Hier befinden sich alle Rechner und Server, die wir nicht von unserem Dienstleister bekommen haben.
Die eigentlichen Server und Clients (Großteil unserer Maschinen) sind in einer Domain. Leider können wir keine eigenen Server und Clients in diese Domain aufnehmen.
Von einem eigenen Rechner oder Server kann ich auf die Freigabe zugreifen, klar sind ja alle in der gleichen Workgroup.
Gibt es eine Möglichkeit, dass ich den Samba so konfiguriere, dass er auch Anfragen aus einer ihm fremden bzw. einer bestimmten Domain zulässt?
Über \\server\share von einem Domain-Rechner bekomme ich derzeit logischerweise nur die Meldung, dass der Zugriff verweigert wird.

Danke im voraus,
Markus

Wene
31.01.11, 12:32
Das hängt im Wesentlichen von den gobalen Sicherheitseinstellungen sowie von denen der einzelnen Freigaben ab. Kannst Du hier zur Übersicht mal Deine smb.conf unter Verwendung der [CODE]- Tags posten?

Haben die Benutzer welche ein "Zugriff verweigert" erhalten auf ihrem Rechner ein Passwort unter Windows? Dies ist für etliche Berechtigungsstufen erforderlich.

rambrand
01.02.11, 09:25
Die smb.conf ist absolut basic



[global]
workgroup = HS010522
security = share

[public]
comment = Public Share
path = /public
read only = no
guest ok = yes


Unter Rechnern, die sich in der Arbeitsgruppe HS010522 befinden, klappt der Zugriff logischerweise ohne Anmeldung etc. unter \\server\public

Bei den Domain-Rechnern bekomme ich bei Zugriff auf \\server\public den Hinweis, dass darauf nicht zugegriffen werden kann und ich eventuell keine Berechtigung habe, auf die Netzwerkressource zuzugreifen.
Was ich nicht ganz verstehe, da ja der Gast-Zugriff erlaubt ist.

Ich hab jetzt mal auf Befehlszeilenebene versucht mich mit dem Samba-Server zu verbinden.
Mit net use x: \\server\public sagt er mir, dass er den Befehl erfolgreich ausgeführt hat. Ein Zugriff auf x: wird jedoch mit "Unerwarteter Netzwerkfehler" abgebrochen.
Jetzt vermute ich hier, dass unser Rechenzentrum etwas an den Netzwerkeinstellungen der Clients gedreht hat. Auf Windows-Seite ist der Client für MS-Netzwerke, QoS-Paketplaner, Datei- und Druckerfreigabe für MS-Netzwerke, IPv6, IPv4, sowie die Protokolle "E/A-Treiber" und "Antwort" für Verbindungsschicht-Topologieerkennung. Dies ist aber auf Domain-Seite so wie auch auf Arbeitsgruppen-Seite.

Leider habe ich den Verdacht, dass uns unser RZ da einen Riegel vorgeschoben hat. Wir sind leider nicht die wahren Herren unseres Netzwerks.

Bye,
Markus

rambrand
01.02.11, 11:10
Ich hab das Problem eingegrenzt.
Die Domain-Clients und Server nutzen NTLM/LMv2.
Die Workgroup-Clients und Server nutzen NTLM/LMv1.

Ich hab aber gelesen, dass Samba 3 NTLM/LMv2 unterstützt. Ich werde mal recherchieren.

Bye,
Markus

Wene
01.02.11, 12:24
Bei den Domain-Rechnern bekomme ich bei Zugriff auf \\server\public den Hinweis, dass darauf nicht zugegriffen werden kann und ich eventuell keine Berechtigung habe, auf die Netzwerkressource zuzugreifen.
Was ich nicht ganz verstehe, da ja der Gast-Zugriff erlaubt ist.


Windows meldet sich soweit ich weiss nur als Gast an wenn es dazu gezwungen wird. Versuch also mal "guest only = yes".

Und die Frage nach den Passwörtern hast Du auch noch nicht beantwortet.

rambrand
02.02.11, 10:05
Hallo Wene,

sorry hatte ich vergessen.
Die Domain-Rechner melden sich mit Benutzerkennung und Passwort an einer w2k3-Domain an.
Habe den Parameter in den Abschnitt des Shares eingetragen, brachte aber nichts.
Leider komme ich nicht an alle Policies in der w2k3-Domain ran, daher kann ich nicht alle Einstellungen nachschauen. Eine Anfrage beim RZ ergab "Sie wollen einen Share auf einem Linux-Server freigeben, der nicht von uns ist? Dafür gibt es keinen Support." *sucks*
Toll nicht der Herr im eigenen Netz zu sein.
Ich bin geneigt das jetzt per FTP/SFTP zu lösen.
Samba wäre schön gewesen, weil die Linux-scheuen Kollegen das unter Windows nicht merken, dass der Share auf einem Linux-Server liegt.

Bye,
Markus

Wene
02.02.11, 11:32
Ich bin geneigt das jetzt per FTP/SFTP zu lösen.

Ohne mehr über die Umgebung zu wissen fängt jetzt natürlich das Raten an. Im Normalfall sollte das aber durchaus mit Samba realisierbar sein.

Was wir noch überhaupt nicht angeschaut haben ist die Authentifizierung als User statt als Gast. Dazu müsstest Du die entsprechenden Benutzer auf Deinem Linux Server anlegen und ihnen mit "smbpasswd" das selbe Passwort zuweisen welches sie unter Windows verwenden.

Jetzt kommt es natürlich darauf an wie viel Zeit Du dafür investieren möchtest oder kannst.

[oETTi]
11.02.11, 17:57
Was passiert beim Aufruf von "\\server" (ohne share)? Wird dir das share angzeigt, oder bekommst du bereits an dieser Stelle eine Windows-Passwortabfrage bzw. ein Zugriff verweigert?

Wie sehen die Berechtigungen auf /public aus?
Sind vllt. iptables-Regeln gesetzt, die den Zugriff verhindern?

Fragen über Fragen :-)

Gruß
oetti